ГОСТ Р ИСО/МЭК 18045— 2008
Выборка в случаях, указанных в ИСО/МЭК 15408 или специально предусмотренных в шагах оценивания
методологии, признается как экономичный подход к действиям, выполняемым оценщиком. Выборка в других
областях разрешается только в исключительных случаях, там. где выполнение конкретного вида деятельности в
целом потребовало бы усилий, непропорциональных другим видам деятельности, и где оно не повысило бы
соответственно доверие. В таких случаях потребуется обоснование применения выборки в этой области. Ни тот
факт, что ОО является объектным и сложным, ни то, что он имеет много функциональных требований безопасно
сти. не является достаточным обоснованием, так как при оценке объемных и сложных ОО как раз и могут потре
боваться большие усилия. Скорее предполагается, что это исключение ограничивается такими случаями, когда
подход к разработке ОО дает большое количество материала для конкретного требования ИСО/МЭК 15408,
который обычно весь требуется проверить или исследовать, и когда не ожидается, что такое действие повысит
соответственно степень доверия.
Выборка нуждается в логическом обосновании, учитывая возможное влияние на цели безопасности и
угрозы ОО. Влияние зависит от того, что может быть пропущено в результате выборки. Необходимо также учиты
вать характер свидетельства, проверяемого выборочно, и требование не игнорировать любые функции безопас
ности и не снижать их роль.
Следует признать, что выборка из свидетельства, прямо связанного с реализацией ОО (например, резуль
татов теста разработчика), требует подхода, отличного от применяемого при выборке, связанною с вынесением
заключения, правильно ли был выполнен процесс. Во многих случаях, когда от оценщика требуется определить,
что процесс действительно выполняется, рекомендуется стратегия выборки. Подход здесь отличается от
приме няемого при выборке результатов тестирования разработчиком, потому что в первом случае речь идет об
уверен ности в том. что процесс выполняется, а во втором — с определением корректности реализации ОО. Как
правило, более объемные выборки должны быть проанализированы в случаях, связанных с правильной
реализацией ОО. чем с необходимостью удостовериться, что процесс выполняется.
При выборке рекомендуется соблюдать нижеприведенные принципы:
a) объем выборки следует сопоставить с эффективностью затрат на проведение оценки, он зависит от
некоторых характеристик ОО (например, от размеров и сложности ОО. от объема документации), но минималь ный
объем в 20 % следует принять за норму для выборки из материалов, относящихся к реализации ОО. Там. где
выборку осуществляют для получения свидетельства выполнения некоторого процесса (например, контроля по
сетителей или анализа проекта), задание определенного процента не применяют. Оценщику следует выбрать
объем информации, достаточный для получения приемлемой уверенности в выполнении процесса и логически
обосновать объем выборки;
b
) следует, чтобы выборка была репрезентативна по всем факторам, относящимся к областям применения
выборки. В частности, следует, чтобы выборка охватила все разнообразив компонентов, функций безопасности,
мест разработки и эксплуатации (если их несколько) и типов аппаратных платформ (если их несколько):
c) заявителя и разработчика не следует заблаговременно информировать о точном составе выборки. При
этом следует учитывать необходимость обеспечения своевременности поставки выборки и вспомогательных
материалов, например комплексов тестовых программ и оборудования, оценщику в соответствии с графиком
проведения оценки;
d) следует, чтобы отбор при выборке по возможности был непредвзятым (не стоит выбирать всегда только
первый или последний номер в списке). В идеале отбор следует поручить не оценщику, а кому-то другому.
Ошибки, найденные в выборке, могут быть отнесены к двум категориям — систематическим или случайным.
Если ошибка систематическая, следует устранить ее причину и полностью выполнить новую выборку. При надле
жащем объяснении разработчика вопрос о случайных ошибках может быть решен без проведения новой
выбор ки. хотя такое объяснение следует подтвердить. Оценщику следует руководствоваться здравым
смыслом при определении, увеличить ли объем выборки или использовать другую выборку.
А.З Анализ непротиворечивости
В настоящем разделе представлено общее руководство по анализу непротиворечивости. Конкретная и
подробная информация дана в тех шагах оценивания, соответствующих определенным элементам действий оцен
щика. где анализ непротиворечивости необходимо выполнить.
Анализ непротиворечивости — это определенная процедура, выполняемая оценщиком, посредством кото
рой выбранную часть одной из поставок для оценки анализируют автономно (на внутреннюю непротиворечи
вость) или сравнивают с одной или несколькими другими поставками для оценки.
В ИСО/МЭК 15408 различаются несколько типов анализа непротиворечивости.
а)Оценщику необходимо проанализировать внутреннюю непротиворечивость поставки для оценки.
Примеры:
- ADV_FSP.1.2C: «Функциональная спецификация должна быть внутренне непротиворечивой!!;
- ADV_HLD.1.2C: «Проект верхнего уровня должен быть внутренне непротиворечивым»;
- ADVJMP.1.2C: «Представление реализации должно быть внутренне непротиворечивым»:
- ADV_LLD.1.2C: «Проект нижнего уровня должен быть внутренне непротиворечивым».
При выполнении анализа внутренней непротиворечивости оценщику необходимо удостовериться, что пред
ставленная поставка не содержит неоднозначностей. Поставка для оценки не должна содержать противоречи вые
формулировки в различных своих составляющих. Например, неформальные, полуформальные или фор мальные
представление одного и того же свидетельства должны быть согласованы между собой.
212